?

嵌入式系統(tǒng)安全專題
——物聯(lián)網(wǎng)時(shí)代，嵌入式系統(tǒng)該如何揮拳？

本刊編輯部

引言

網(wǎng)絡(luò)安全是全球普遍關(guān)注的重要問題，在網(wǎng)絡(luò)安全的世界里面，有兩個(gè)部分與嵌入式系統(tǒng)密切相關(guān)：一個(gè)是物聯(lián)網(wǎng)，另一個(gè)是信息安全。物聯(lián)網(wǎng)時(shí)代的嵌入式設(shè)備正面臨著各種各樣的安全威脅，這也成為嵌入式系統(tǒng)設(shè)計(jì)面臨的重要挑戰(zhàn)。如何充分地利用芯片、嵌入式軟件和工具來實(shí)現(xiàn)全面的系統(tǒng)安全保護(hù)，消除來自網(wǎng)絡(luò)的威脅，成為目前亟待解決的重大課題。同時(shí)，提供安全性的遠(yuǎn)程管理和維護(hù)也成為當(dāng)前物聯(lián)網(wǎng)設(shè)備的迫切需求。

我們有幸邀請(qǐng)到物聯(lián)網(wǎng)和嵌入式系統(tǒng)產(chǎn)業(yè)鏈上有代表性的業(yè)內(nèi)專家和高校學(xué)者，為讀者深入解讀面向物聯(lián)網(wǎng)應(yīng)用的嵌入式系統(tǒng)安全技術(shù)和應(yīng)用。

物聯(lián)網(wǎng)中的嵌入式安全

嵌入式系統(tǒng)聯(lián)誼會(huì)秘書長(zhǎng) 何小慶

最近幾年，物聯(lián)網(wǎng)(IoT)風(fēng)起云涌，隨之而來的是，聯(lián)網(wǎng)后的嵌入式系統(tǒng)安全性問題更加嚴(yán)峻。歸納起來，物聯(lián)網(wǎng)嵌入式安全設(shè)計(jì)應(yīng)考慮以下幾個(gè)方面：

第一，容易被攻擊的對(duì)象顯著增多。比如家電聯(lián)網(wǎng)變成智能家居，汽車聯(lián)網(wǎng)變成車聯(lián)網(wǎng)，那么汽車和家電就成為了可以被攻擊的對(duì)象。這里的汽車是指廣義的交通工具，包括了公共交通和飛機(jī)等，未來的無人駕駛汽車也是可能受到攻擊的對(duì)象。我最近乘坐美聯(lián)航和Bluejet航空公司的飛機(jī)，均已提供機(jī)內(nèi)Wi-Fi服務(wù)，這就給攻擊者提供了乘機(jī)而入的機(jī)會(huì)。

第二，越來越多的日?；顒?dòng)可能因?yàn)槭芄舳袛?。除了汽車和家電以外，大量可穿戴式醫(yī)療健康設(shè)備，都能夠通過智能手機(jī)接入互聯(lián)網(wǎng)，攻擊可能導(dǎo)致設(shè)備發(fā)生故障，危害人們的健康甚至生命。

第三，互聯(lián)網(wǎng)和大數(shù)據(jù)通過傳感器收集到了大量物(Things)的信息，其內(nèi)容更加廣泛，一旦重要信息泄漏，后果不堪設(shè)想。我們駕駛的汽車的位置、個(gè)人信息和疾病信息，以及智慧城市的建筑和交通等管理信息，都可能遭到泄漏。

第四，電網(wǎng)、交通運(yùn)輸和管理、核電站和環(huán)境監(jiān)測(cè)等關(guān)鍵系統(tǒng)，若遭到黑客的攻擊，將造成毀滅性的危害。

第五，新的開放的標(biāo)準(zhǔn)與傳統(tǒng)私有的標(biāo)準(zhǔn)之間的轉(zhuǎn)換帶來的安全隱患。比如，如果物聯(lián)網(wǎng)設(shè)備中使用的ZigBee、Z-Wave、Thread和ANT協(xié)議，與互聯(lián)網(wǎng)IP協(xié)議之間需要轉(zhuǎn)換，就必須考慮安全性的問題。國(guó)際性標(biāo)準(zhǔn)組織IETF、ITU，以及民間企業(yè)聯(lián)盟OIC和AllJoyn等，正在架構(gòu)層做有關(guān)安全性的研究工作，期望降低安全風(fēng)險(xiǎn)，但是因?yàn)榇罅康脑O(shè)備已經(jīng)存在，所以還需要一段時(shí)間才能完善。

物聯(lián)網(wǎng)安全已經(jīng)開始引起計(jì)算機(jī)科學(xué)、通信技術(shù)等學(xué)科的專家學(xué)者，以及半導(dǎo)體、IT和嵌入式系統(tǒng)產(chǎn)業(yè)界人士的高度重視。哥倫比亞大學(xué)計(jì)算機(jī)專業(yè)2015年春天講授的網(wǎng)絡(luò)安全課程已經(jīng)加入了IoT 安全性方面的內(nèi)容，很多相關(guān)企業(yè)也在加緊推出物聯(lián)網(wǎng)安全方面的產(chǎn)品。2015年6月，我在舊金山一個(gè)嵌入式會(huì)議上遇到一家網(wǎng)絡(luò)軟件公司-Icon lab的創(chuàng)始人和CEO Alan Gran，會(huì)上他們介紹了公司面向工業(yè)物聯(lián)網(wǎng)(IIoT)嵌入式網(wǎng)絡(luò)安全軟件技術(shù)。著名開源技術(shù)咨詢公司Blackduck公司的開源策略總監(jiān)Bill Weinberg,在其《物聯(lián)網(wǎng)與開源軟件》一文中詳細(xì)討論了物聯(lián)網(wǎng)端點(diǎn)和邊緣節(jié)點(diǎn)設(shè)備的安全問題，ARM、NXP、飛思卡爾、谷歌和微軟也在芯片和物聯(lián)網(wǎng)操作系統(tǒng)層面，布局物聯(lián)網(wǎng)系統(tǒng)安全技術(shù)和解決方案。可見，物聯(lián)網(wǎng)安全正在快速發(fā)展中。

嵌入式系統(tǒng)的可靠性與安全性設(shè)計(jì)

北京航空航天大學(xué) 何立民教授

嵌入式系統(tǒng)的可靠性與安全性設(shè)計(jì)是一個(gè)全新的課題。與傳統(tǒng)電子系統(tǒng)相比，由大規(guī)模集成電路與計(jì)算機(jī)軟件構(gòu)成的嵌入式系統(tǒng)，其集成電路的超長(zhǎng)壽命與可能會(huì)出錯(cuò)的軟件，構(gòu)成了嵌入式系統(tǒng)獨(dú)特的可靠性、安全性問題。集成電路的超長(zhǎng)壽命，保證了嵌入式系統(tǒng)不易出現(xiàn)不可逆轉(zhuǎn)的失效，而軟件將成為嵌入式系統(tǒng)不可靠的主要因素。因此，嵌入式系統(tǒng)的可靠性與安全性問題，主要表現(xiàn)在系統(tǒng)的出錯(cuò)概率上。

嵌入式系統(tǒng)的可靠性與安全性設(shè)計(jì)的主要任務(wù)是，在保證硬件系統(tǒng)安全、可靠的基礎(chǔ)上，盡可能降低軟件的出錯(cuò)概率。在硬件設(shè)計(jì)中，有芯片選擇、電路板設(shè)計(jì)、加工工藝、系統(tǒng)總體設(shè)計(jì)中的結(jié)構(gòu)冗余、定時(shí)復(fù)位電路、電源管理系統(tǒng)(及時(shí)關(guān)斷非工作區(qū)域供電，使其噪聲失敏)等。在軟件設(shè)計(jì)中，除了可靠的軟件設(shè)計(jì)方法，如盡可能使用商用操作系統(tǒng)與廠家提供的集成開發(fā)環(huán)境外，還要充分利用軟件的智慧特點(diǎn)，主動(dòng)實(shí)施對(duì)系統(tǒng)的可靠性控制與安全性包容技術(shù)?？煽啃钥刂剖侵柑岣呦到y(tǒng)可靠性的各種手段，如系統(tǒng)自檢、實(shí)時(shí)監(jiān)測(cè)與系統(tǒng)切換、數(shù)據(jù)校驗(yàn)與修復(fù)；安全性包容技術(shù)，是指系統(tǒng)出錯(cuò)后的無害化處理。

就一個(gè)具體的嵌入式應(yīng)用系統(tǒng)而言，可靠性、安全性設(shè)計(jì)不是越高越好，它涉及財(cái)力、物力、精力的投入，能滿足要求即可。因此，在可靠性、安全性設(shè)計(jì)之前，要對(duì)產(chǎn)品系統(tǒng)的可靠性等級(jí)進(jìn)行評(píng)估，按照系統(tǒng)可靠性要求等級(jí)來規(guī)劃相應(yīng)的項(xiàng)目與內(nèi)容。

目前，幾乎所有的電子產(chǎn)品都是內(nèi)含MCU的嵌入式應(yīng)用系統(tǒng)，即智能電子系統(tǒng)。與傳統(tǒng)電子系統(tǒng)相比，智能電子系統(tǒng)有完全不同的可靠性概念、可靠性與安全性設(shè)計(jì)方法。

傳統(tǒng)電子系統(tǒng)，是以系統(tǒng)中電子元器件的失效概率來判斷系統(tǒng)的可靠性，具有“非好即壞”的二值特征。集成電路超長(zhǎng)壽命的智能電子產(chǎn)品系統(tǒng)的可靠性則取決于軟件的出錯(cuò)概率，而軟件出錯(cuò)時(shí)，可以借助各種手段使系統(tǒng)恢復(fù)，因此具有多值可靠性特征。

智能電子系統(tǒng)具有智慧功能，不僅保證了產(chǎn)品系統(tǒng)的智慧功能，還可用來實(shí)現(xiàn)產(chǎn)品的可靠性、安全性控制與系統(tǒng)運(yùn)行的功耗管理。因此，一個(gè)完整的智能產(chǎn)品系統(tǒng)設(shè)計(jì)，應(yīng)該包含功能性設(shè)計(jì)、可靠性設(shè)計(jì)與功耗管理設(shè)計(jì)三個(gè)部分。

可靠性設(shè)計(jì)包括本質(zhì)可靠性設(shè)計(jì)與可靠性控制設(shè)計(jì)。本質(zhì)可靠性設(shè)計(jì)保證系統(tǒng)的先天可靠性；可靠性控制設(shè)計(jì)通過采取一些措施來減少系統(tǒng)出錯(cuò)，如數(shù)據(jù)校驗(yàn)、噪聲失敏、系統(tǒng)自檢與修復(fù)等。

在安全性設(shè)計(jì)中，要保證系統(tǒng)少出錯(cuò)與出錯(cuò)時(shí)的無害化處理。高水平的本質(zhì)可靠性設(shè)計(jì)與可靠性控制設(shè)計(jì)，能夠保證系統(tǒng)實(shí)現(xiàn)最小的出錯(cuò)概率。當(dāng)系統(tǒng)出錯(cuò)后，能迅速進(jìn)入安保狀態(tài)，如為機(jī)器人設(shè)定安全禁區(qū)、異常情況的關(guān)停處理等。

特定用途LAMP服務(wù)器為物聯(lián)網(wǎng)應(yīng)用保駕護(hù)航

e絡(luò)盟亞太區(qū)技術(shù)市場(chǎng)經(jīng)理 陳嘉偉

我們當(dāng)前的生活中充斥著各種連接設(shè)備，不間斷地傳輸著龐大的數(shù)據(jù)，而這些我們剛剛開始著力挖掘的數(shù)據(jù)卻承載著無數(shù)秘密。交通、醫(yī)療保健、農(nóng)業(yè)、點(diǎn)對(duì)點(diǎn)通信及娛樂等領(lǐng)域，已經(jīng)獲取了10年前根本無法想象的信息量。將這些海量信息運(yùn)用于解決真正的全球化問題，進(jìn)而改善人類生活的技術(shù)就是物聯(lián)網(wǎng)(IoT)，它集成了設(shè)備、網(wǎng)絡(luò)及處理能力，具有強(qiáng)大的應(yīng)用潛能。

嵌入式系統(tǒng)是物聯(lián)網(wǎng)的重要組成部分。在嵌入式世界里，越來越多“物體”實(shí)現(xiàn)了相互連接，但同時(shí)也讓我們面臨一個(gè)兩難選擇：因物體互連而具備的易訪問性，也使得這一系列全新“物體”非常容易受到攻擊。因此，家庭自動(dòng)化節(jié)點(diǎn)、電能計(jì)量及支付解決方案等應(yīng)用領(lǐng)域的嵌入式開發(fā)人員都需要竭力解決大量的主動(dòng)威脅問題。

為了真正實(shí)現(xiàn)物聯(lián)網(wǎng)的功能，我們需要從系統(tǒng)的角度思考，而不能簡(jiǎn)單地將物聯(lián)網(wǎng)看作是由各種自主、分布式智能設(shè)備直接連接至開放互聯(lián)網(wǎng)而形成的一個(gè)松散集合。

事實(shí)上，大多數(shù)嵌入式設(shè)備制造商都會(huì)設(shè)計(jì)并管理一個(gè)子網(wǎng)絡(luò)，用于監(jiān)測(cè)并管理其設(shè)備。雖然移動(dòng)手機(jī)和平板電腦可以直接連接至應(yīng)用商店，但是大多數(shù)設(shè)備制造商仍然偏向于在其設(shè)備生態(tài)系統(tǒng)當(dāng)中嵌入其自主研發(fā)的特定用途服務(wù)器。在這種情況下，功能強(qiáng)大且高效的低成本LAMP(Linux、Apache、MySQL及PHP)服務(wù)器便進(jìn)入了人們的視線當(dāng)中，LAMP服務(wù)器可以收集、存儲(chǔ)、處理并分析分布式設(shè)備的數(shù)據(jù)，同時(shí)控制、管理并維護(hù)設(shè)備本身。它具備多項(xiàng)優(yōu)點(diǎn)，包括完全控制與可配置性、新功能直接升級(jí)、模塊或安全性修復(fù)、高性能及可擴(kuò)展性等。

雖然保證設(shè)備的設(shè)計(jì)安全性很重要，但從PC及手機(jī)的更新頻度來看，設(shè)備的更新性能同樣甚至更加重要，尤其是當(dāng)新的威脅出現(xiàn)或者現(xiàn)有威脅進(jìn)一步升級(jí)的時(shí)候。這意味著您的架構(gòu)需要具備一項(xiàng)重要性能，即能夠推送邊緣設(shè)備進(jìn)行安全及軟件更新。由于當(dāng)前許多制造并部署的嵌入式設(shè)備運(yùn)行的都不是iOS和安卓系統(tǒng)，同時(shí)許多低成本邊緣設(shè)備采用微控制器(MCU)配置且運(yùn)行裸機(jī)代碼，最多運(yùn)行配置TCP/IP協(xié)議棧的RTOS，因此定制化軟件升級(jí)服務(wù)器成為必要。特定用途LAMP服務(wù)器也就應(yīng)運(yùn)而生，而且將在物聯(lián)網(wǎng)領(lǐng)域發(fā)揮重要作用。

一種基于可信計(jì)算的嵌入式系統(tǒng)信息安全防護(hù)架構(gòu)的“安全魔盒”

北京旋極信息技術(shù)股份有限公司 王薪達(dá)

近年來，以震網(wǎng)病毒、Flame火焰病毒、Duqu病毒為代表的嵌入式信息安全事件大規(guī)模涌現(xiàn)，帶來的危害性遠(yuǎn)超普通信息安全事件，各國(guó)政府、相關(guān)企業(yè)和用戶由此深刻地認(rèn)識(shí)到嵌入式系統(tǒng)信息安全的重要性。

嵌入式系統(tǒng)作為現(xiàn)代工業(yè)控制系統(tǒng)的核心，在裝備和工業(yè)設(shè)備中應(yīng)用數(shù)量巨大。然而，長(zhǎng)期以來，嵌入式系統(tǒng)產(chǎn)品的開發(fā)都以追求性能、功能和成本為主，鮮有考慮安全性問題，這造成了嵌入式系統(tǒng)產(chǎn)品在開發(fā)時(shí)就未考慮安全因素。問題暴露出來時(shí)，“打補(bǔ)丁”的方式并不能從根本上解決問題。即使有安全方面的考慮，也是防火墻、入侵監(jiān)測(cè)和病毒防范“老三樣”的方式，同樣不能從根本上解決信息安全的問題。為此，我們?cè)O(shè)計(jì)了一種全新的安全防護(hù)架構(gòu)，目的是從根本上來解決信息安全問題。

“安全魔盒”是一種應(yīng)用于嵌入式系統(tǒng)和設(shè)備中，對(duì)其運(yùn)行環(huán)境安全進(jìn)行實(shí)時(shí)監(jiān)測(cè)和恢復(fù)的產(chǎn)品，在系統(tǒng)出現(xiàn)故障時(shí)可自動(dòng)或手功恢復(fù)設(shè)備原始狀態(tài)，以保證設(shè)備隨時(shí)可用，不會(huì)由于受到破壞和攻擊等因素的影響導(dǎo)致設(shè)備功能部分或全部失效。

“安全魔盒”采用總線檢測(cè)技術(shù)、面向故障與效率的數(shù)據(jù)智能分析技術(shù)等，基于全生命周期管理、PHM技術(shù)、可信計(jì)算、測(cè)試性、人工智能、大數(shù)據(jù)和物聯(lián)網(wǎng)等多種技術(shù)，結(jié)合相關(guān)理論及模型實(shí)現(xiàn)。

多重自主安全防護(hù)機(jī)制架構(gòu)示意圖

“安全魔盒”能夠?qū)υO(shè)備運(yùn)行狀態(tài)實(shí)時(shí)監(jiān)測(cè)，并通過多重防護(hù)機(jī)制提高嵌入式系統(tǒng)的可靠性。其具有如下特點(diǎn)：主動(dòng)、被動(dòng)加自恢復(fù)多重自主安全防護(hù)措施；設(shè)備狀態(tài)實(shí)時(shí)監(jiān)測(cè)；可選擇多種恢復(fù)方式(完全恢復(fù)、部分恢復(fù)、比對(duì)恢復(fù))。

“安全魔盒”工作原理示意圖

ISA100.11a的安全架構(gòu)

橫河電機(jī)(北京)研究開發(fā)中心 胡榮才部長(zhǎng)

現(xiàn)場(chǎng)總線是“物聯(lián)網(wǎng)”一詞出現(xiàn)之前就存在的物聯(lián)網(wǎng)形態(tài)。出于可用性、完整性和機(jī)密性三大要素的考慮，IT系統(tǒng)和控制系統(tǒng)有著本質(zhì)的不同。

IT系統(tǒng)和控制系統(tǒng)安全性級(jí)別

由于工業(yè)控制系統(tǒng)的封閉性，信息安全的重要性一直沒有得到相應(yīng)的重視。隨著工業(yè)系統(tǒng)走向開放以及外在的威脅變得愈加尖銳，工業(yè)系統(tǒng)的信息安全被提升到相當(dāng)?shù)母叨?，而工業(yè)無線標(biāo)準(zhǔn)ISA100.11a則是在維持高可用性和完整性的前提下，充分滿足機(jī)密性要求的工業(yè)無線網(wǎng)絡(luò)標(biāo)準(zhǔn)。

ISA100.11a工業(yè)無線網(wǎng)絡(luò)標(biāo)準(zhǔn)是由ISA協(xié)會(huì)制定的面向過程工業(yè)的開放標(biāo)準(zhǔn)，并于2014年9月被IEC接納為國(guó)際標(biāo)準(zhǔn)(IEC62734)。制定標(biāo)準(zhǔn)的專家團(tuán)隊(duì)具有廣泛的代表性：既包括橫河電機(jī)、霍尼韋爾、艾默生等大的自動(dòng)化廠商代表，也有來自BP、ExxonMobil等大的行業(yè)用戶代表。ISA100.11a是第一個(gè)基于IPv6的標(biāo)準(zhǔn)，可以很好地與互聯(lián)網(wǎng)融合，同時(shí)也保證了良好的可擴(kuò)展性和可管理性。此外，為了保證用戶生產(chǎn)數(shù)據(jù)的安全，ISA100.11a引入了一系列的安全策略。

圖4　ISA100.11a的安全模型

ISA100.11a安全模型在數(shù)據(jù)鏈路層(DL)和傳輸層(TL)提供了安全機(jī)制。這兩層中都提供了數(shù)據(jù)加密和完整性校驗(yàn)功能，以防止數(shù)據(jù)泄露和非法篡改，保證數(shù)據(jù)的發(fā)送和接收方都是合法的設(shè)備。數(shù)據(jù)鏈路層提供在空口上的點(diǎn)到點(diǎn)的安全，而傳輸層則提供端到端的安全性。另外，ISA100.11a不允許關(guān)閉安全功能，從而避免了由于設(shè)置錯(cuò)誤導(dǎo)致的安全性降低。

除了數(shù)據(jù)加密和完整性校驗(yàn)，ISA100.11a還提供了其他相應(yīng)的安全功能，以確保整個(gè)安全架構(gòu)沒有漏洞。這些功能包括：用戶設(shè)備的授權(quán)，提供了基于非對(duì)稱加密的在線授權(quán)機(jī)制；加入網(wǎng)絡(luò)時(shí)的用戶與網(wǎng)絡(luò)的互相認(rèn)證；通信用密鑰的分發(fā)和定時(shí)失效；采用標(biāo)準(zhǔn)的AES-128算法；采用與時(shí)間相關(guān)的NONCE。

本專題由第五屆深圳國(guó)際嵌入式系統(tǒng)展冠名贊助8月2426日深圳會(huì)展中心